KT와 롯데카드에서 해킹 피해 사고가 연이어 발생한 가운데, ESG 평가기관 서스틴베스트는 ‘정보보호’ 사안에서 심각성이 중대하다고 판단하며 해당 기업에 대한 ESG 평가 감점이 불가피하다고 밝혔다. 

서스틴베스트는 23일 컨트로버시 보고서를 통해 두 회사 사건에 모두 심각성 ‘상’으로 평가했다. 앞서 KT는 18일 기자회견을 통해 고객 개인정보 노출로 인한 소액 피해 금액은 누적 2억4000만원이며 피해 고객 규모는 362명이라고 발표했다. 롯데카드는 해킹으로 유출된 정보가 200GB에 달하며, 이는 올해 4월 발생한 SK텔레콤 사고(10GB)의 20배 규모에 이른다. 

서스틴베스트는 해킹 사고의 심각성, 피해 규모 등을 고려했을 때 사회(S) 부문에서 최대 10점 감점으로 이어질 수 있으며 사회 등급과 종합 등급이 하락할 수 있다고 전망했다. 최종 평가 결과는 11월 하반기에 결정될 예정이다.

서스틴베스트는 매년 상·하반기 기업의 ESG 등급을 발표하며 사회적 논란이 된 사건은 ‘컨트로버시(Controversy)’ 평가를 통해 반영한다. 사건은 심각도(Level 1~5)로 구분되며, Level 5(심각성 ‘상’)으로 분류되면 기업 전체 등급에 큰 영향을 미친다. 올해 4월 SK텔레콤 정보유출 사건 역시 심각성 ‘상’으로 평가돼 10점 감점이 적용된 바 있다.

KT는 정보기술부문 인력은 증가했음에도 정보보호부문 전담인력은 전년 대비 13.8% 감소하였다. 보고서는 “KT의 정보보호 인력 감소는 보안 사고에 대한 신속한 대응을 어렵게 하며, 이로 인해 보안 취약점이 드러날 위험이 있다. 더욱이 4월 SK텔레콤 이용자 정보 유출 사고가 있었음에도 불구하고 KT는 정보보안 강화에 대한 경각심을 가지지 못했다”고 지적했다.

한편 롯데카드는 해킹 발생 이전 정보보호 인증(ISMS-P)을 이미 획득했음에도 대규모 피해가 발생했다. 롯데카드는 향후 5년간 1100억 원을 투자해 IT 예산의 15%를 정보보호에 투입하겠다고 발표했다. 서스틴베스트는 “대책이 선언에 그치지 않고, 정기 점검·모의훈련·즉각 대응 체계로 이어져야 한다”고 강조했다.

서스틴베스트 류영재 대표는 “금융·통신 분야의 정보보안 사고는 기업 존립을 위협할 치명적 리스크”라며 “기업은 여전히 보안을 비용으로만 인식한다. 단기주의에서 벗어나 장기적 주주 가치와 이해관계자 보호를 동시에 추구하는 경영이 필요하다”고 말했다. 

서스틴베스트는 향후 금융감독기관과 협력해 ESG 평가 가이던스 개정 등 제도적 개선을 추진하며 투자자에게 보다 신뢰성 있는 정보를 제공하겠다고 밝혔다. 

여성경제신문 이상무 기자 sewoen@seoulmedia.co.kr